恣意用户暗码重置(四):重置凭据未校验
在逻辑缝隙中,恣意用户暗码重置最为常见,或许出现在新用户注册页面,也或许是用户登录后重置暗码的页面,或许用户忘掉暗码时的暗码找回页面,其间,暗码找回功用是重灾区。我把日常浸透过程中遇到的事例作了缝隙成因剖析,这次,重视因重置凭据未校验导致的恣意用户暗码重置问题。
暗码找回需求辨别用户的合法身份,证明你便是你,一般有两种做法,一是网站将重置验证码发至用户绑定的邮箱或手机号,用户持重置验证码证明你便是你,二是用户输入暗码保护问题对应的答案。其间,验证码、密保答案便是重置暗码的重要凭据。
在日常对暗码找回功用的攻击中,我的大部份精力聚集在是否能够暴破验证码、是否能够绑架接纳验证码的手机号或邮箱、是否能够混杂重置其他账号、是否能够绕过验证过程、乃至是猜想重置 token 的生成规则等攻击 *** 上,反而疏忽了最简略、更低技术含量的一种 *** ——服务端未校验重置凭据。换言之,不管你输入的重置验证码或密保答案是否正确,只需恳求格局无误,均可成功重置恣意账号暗码。我举两个实在事例(缝隙均已修正,就不打码了),你感触下。
事例一:因服务端未校验 token 导致可重置恣意账号暗码
暗码找回页面 http://www.omegatravel.net/users/retrievePassword/ 用攻击者账号 yangyangwithgnu@yeah.net 进入暗码找回全流程,输入图片验证码后提交:
随后收到带 token 的暗码重置链接的邮件:
其间,key:FqvICT 和 userEmail:yangyangwithgnu@yeah.net 引起了我的留意。正常来说,提交该 URL 后,服务端会校验 key 与 userEmail 是否匹配,若匹配则进入提交新暗码页面,若不匹配则报错。现在,我测验将 key 从 FqvICT 改为 xxxxxx 后再拜访,原本心思预期将看到报错页面,没想到进入了新暗码提交页面,难倒所谓的重置 token 仅仅是个铺排?
赶忙找个账号试试,就拿信息搜集时找到的 travel24@omegatravel.net 为例(更多后台账号见后文)。参照前面收到的重置链接格局,简略拼装为 http://www.omegatravel.net/users/retrievePasswordReset/key:xxxxxx/userEmail:travel24@omegatravel.net,是滴,key 的值我随意写的,拜访看看,哇,竟然真的进入了新暗码提交页面:
输入新暗码 PenTest1024 后提交,网站提示“修正暗码成功”。测验用 travel24@omegatravel.net/PenTest1024 登录,成功进入体系:
怎么获取其他账号?从注册页面可知,该网站只能用邮箱注册,邮箱即账号。我关怀一般用户和内部职工用户两类账号(即邮箱)。一般用户的邮箱字典方面,把国人常见名字拼音 top500 结合常见邮箱后缀(@qq.com、@163.com 等等)快速生成个简略邮箱字典;内部职工的邮箱方面,我从该网站域名注册信息查询到联络人为 omegait@omegauk.net,阐明该公司运用 @omegauk.net 的邮箱后缀,同上,把国人常见名字拼音 top500、常见后台账号,结合 @omegauk.net 邮箱后缀,快速生邮箱字典;别的,从“联络咱们”、“诚聘英才”、“公司简介”等页面找到很多内部职工邮箱和合作伙伴邮箱,如 info@jadetravel.co.uk、info@ukchinese.com 等等:
将以上几类邮箱字典存为 mail.txt 也便是用户名。
这样,我不只能够重置一般账号的暗码,还能绑架很多内部职工、合作伙伴的账号,为防止影响事务,不再实际操作。
事例二:可枚举无密保的用户名,导致恣意密保答案均可重置暗码
在暗码找回页面 http://www.hzpzs.net/u_findPassword.asp 输入有用用户名 yangyangwithgnu 后阻拦恳求包:
猜想该数据包用于用户名有用性校验,放至 repeater 中剖析。
因为没用图片验证码,导致可枚举有用用户名,发现三类状况。一是,用户名存在且设置过密保问题,应对相似:
二是,用户名存在但未设置密保问题,应对相似:
三是,无效用户名,则应对相似:
用常见用户名和中国人名字拼音作为字典进行枚举,在一切成果中过滤显现含有关键字 的应对,得到的一切 UserName 参数值即为未设置密保问题的用户名。如:aaron、admin、adolph、alisa、chenchen、esther、jones 等等。
按正常流程,对 chenxin 进行暗码重置,输入恣意密保答案均可重置暗码:
加固办法
暗码重置凭据一定要严厉校验,空密保问题时制止经过密保找回暗码;服务端应约束枚举等歹意恳求。别的,抽打开发人员,皮鞭加盐。
相关文章
腐朽的苹果:对一大波iCloud垂钓网站的监测与剖析
国外的FireEye实验室有一套主动化体系,这套体系可以主动侦测最新注册的歹意域名。所谓的歹意域名,绝大部分都是假装成很多人知道的常用域名,以此来到达“歹意”的目的。比方说假装成苹果公司的域名——Fi...
在Go中运用反向署理进行网络垂钓测验
关于一个进犯者来说,要想施行一次网络垂钓进犯,往往需求做很多的准备作业。例如建立垂钓站点,诱惑受害者上钩,捕获受害者的登录凭据等。为了防止这些冗杂的进程,本文我将教咱们运用Go自动化这些进程。 完好的...
本文从现代WAF的基本原理讲起,涵盖WAF指纹识别、多种WAF绕过技术(下)-黑客接单平台
今日咱们来接着上一篇,讲讲WAF绕过技能的其他几个方面。 Unicode标准化 让Unicode标准化是Unicode的一个功用,用于比较看起来类似的Unicode符号。例如,符号“ª”和“ᵃ”有不同...
RIG exploit kit:歹意活动剖析陈述
尽管攻击方式不算复杂,但是RIG仍然能通过一些恶意软件活动获得较大的流量。而那些利用被黑站点和恶意广告,重定向到RIG的流量,是通过服务端的302跳转机制,或者是通过客户端的iframe和JS脚本...
PHP弱类型安全问题总结
前段时间做了南京邮电大学网络攻防渠道上面的标题,写了一个writeup之后,还有必要总结一下。因为做的标题都是web类型的,一切的标题都是运用PHP来写的,所以许多标题并没有调查到传统的如SQL注入...
恣意用户暗码重置(三):用户混杂
在逻辑缝隙中,恣意用户暗码重置最为常见,或许出现在新用户注册页面,也或许是用户登录后重置暗码的页面,或许用户忘掉暗码时的暗码找回页面,其间,暗码找回功用是重灾区。我把日常浸透过程中遇到的事例作了缝隙成...
Copyright Your WebSite.Some Rights Reserved.
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!